AWSSupport-ResetLinuxUserPassword - AWS Systems Manager Referencia del manual de automatización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSSupport-ResetLinuxUserPassword

Descripción

El manual de procedimientos AWSSupport-ResetLinuxUserPassword le ayuda a restablecer la contraseña de un usuario del sistema operativo (SO) local. Este manual es especialmente útil para los usuarios que necesitan acceder a sus instancias de Amazon Elastic Compute Cloud (AmazonEC2) mediante la consola en serie. El runbook crea una EC2 instancia temporal de Amazon en tu cuenta Cuenta de AWS y un rol AWS Identity and Access Management (IAM) con permisos para recuperar un valor AWS Secrets Manager secreto que contiene la contraseña.

El runbook detiene la EC2 instancia de Amazon de destino, separa el volumen raíz de Amazon Elastic Block Store EBS (Amazon) y lo adjunta a la instancia temporal de Amazon. EC2 Con Run Command, se ejecuta un script en la instancia temporal para establecer la contraseña del usuario del sistema operativo que especifique. A continuación, el EBS volumen raíz de Amazon se vuelve a adjuntar a la instancia de destino. El manual de procedimientos también ofrece una opción para crear una instantánea del volumen raíz al comienzo de la automatización.

Antes de empezar

Cree un secreto de Secrets Manager con el valor de la contraseña que desee asignar al usuario de su sistema operativo. El valor debe estar en texto plano. Para obtener más información, consulte Crear un secreto de AWS Secrets Manager en la Guía del usuario de AWS Secrets Manager .

Consideraciones

  • Recomendamos hacer una copia de seguridad de la instancia antes de usar este manual de procedimientos. Considere la posibilidad de establecer el valor del parámetro CreateSnapshot como Yes.

  • Para cambiar la contraseña del usuario local, es necesario que el manual de procedimientos detenga la instancia. Los datos guardados en la memoria o en el almacén de instancias se perderán cuando se detenga una instancia. Además, se publican todas IPv4 las direcciones públicas que se asignen automáticamente. Para obtener más información sobre lo que ocurre cuando detienes una instancia, consulta Detener e iniciar tu instancia en la Guía del EC2 usuario de Amazon.

  • Si los EBS volúmenes de Amazon adjuntos a tu EC2 instancia de Amazon de destino están cifrados con una clave gestionada por el cliente AWS Key Management Service (AWS KMS), asegúrate de que la AWS KMS clave no lo esté deleted disabled o la instancia no podrá iniciarse.

Ejecuta esta automatización (consola)

Tipo de documento

Automatización

Propietario

Amazon

Plataformas

Linux

Parámetros

  • AutomationAssumeRole

    Tipo: cadena

    Descripción: (opcional) El nombre del recurso de Amazon (ARN) del rol AWS Identity and Access Management (IAM) que permite a Systems Manager Automation realizar las acciones en su nombre. Si no se especifica ningún rol, Systems Manager Automation utiliza los permisos del usuario que comienza este manual de procedimientos.

  • InstanceId

    Tipo: cadena

    Descripción: (obligatorio) El ID de la instancia de Amazon EC2 Linux que contiene la contraseña de usuario del sistema operativo que desea restablecer.

  • LinuxUserName

    Tipo: cadena

    Predeterminado: ec2-user

    Descripción: (opcional) la cuenta de usuario del sistema operativo cuya contraseña desea restablecer.

  • SecretArn

    Tipo: cadena

    Descripción: (Obligatorio) El secreto ARN de Secrets Manager que contiene la nueva contraseña.

  • SecurityGroupId

    Tipo: cadena

    Descripción: (opcional) El ID del grupo de seguridad que se va a adjuntar a la EC2 instancia temporal de Amazon. Si no proporciona un valor para este parámetro, se utiliza el grupo de seguridad predeterminado de Amazon Virtual Private Cloud (AmazonVPC).

  • SubnetId

    Tipo: cadena

    Descripción: (opcional) El ID de la subred en la que quieres lanzar la instancia EC2 temporal de Amazon. De forma predeterminada, la automatización elige la misma subred que la instancia de destino. Si elige proporcionar una subred diferente, debe estar en la misma zona de disponibilidad que la instancia de destino y tener acceso a los puntos de enlace de Systems Manager.

  • CreateSnapshot

    Tipo: cadena

    Valores válidos: Yes | No

    Valor predeterminado: Yes

    Descripción: (opcional) Determina si se crea una instantánea del volumen raíz de la EC2 instancia de Amazon de destino antes de que se ejecute la automatización.

  • StopConsent

    Tipo: cadena

    Valores válidos: Yes | No

    Valor predeterminado: No

    Descripción: Introduce este campo Yes para confirmar que tu EC2 instancia de Amazon de destino se detendrá durante esta automatización. Cuando se detiene la EC2 instancia de Amazon, se pierden todos los datos almacenados en la memoria o en los volúmenes del almacén de instancias y se libera la IPv4 dirección pública automática. Para obtener más información, consulta Detener e iniciar tu instancia en la Guía del EC2 usuario de Amazon.

IAMPermisos necesarios

El parámetro AutomationAssumeRole requiere las siguientes acciones para utilizar el manual de procedimientos correctamente.

  • ssm:DescribeInstanceInformation

  • ssm:ListTagsForResource

  • ssm:SendCommand

  • ec2:AttachVolume

  • ec2:CreateSnapshot

  • ec2:CreateSnapshots

  • ec2:CreateVolume

  • ec2:DescribeImages

  • ec2:DescribeInstances

  • ec2:DescribeInstanceStatus

  • ec2:DescribeSnapshotAttribute

  • ec2:DescribeSnapshots

  • ec2:DescribeSnapshotTierStatus

  • ec2:DescribeVolumes

  • ec2:DescribeVolumeStatus

  • ec2:DetachVolume

  • ec2:RunInstances

  • ec2:StartInstances

  • ec2:StopInstances

  • ec2:TerminateInstances

  • cloudformation:CreateStack

  • cloudformation:DeleteStack

  • cloudformation:DescribeStackResource

  • cloudformation:DescribeStacks

  • cloudformation:ListStacks

  • logs:CreateLogDelivery

  • logs:CreateLogGroup

  • logs:DeleteLogDelivery

  • logs:DeleteLogGroup

  • logs:DescribeLogGroups

  • logs:DescribeLogStreams

  • logs:PutLogEvents

Pasos de documentos

  1. aws:branch— Se ramifica en función de si has dado tu consentimiento para detener la EC2 instancia de Amazon de destino.

  2. aws:assertAwsResourceProperty— Garantiza que el estado de la EC2 instancia de Amazon esté en un stopped estado running o. De lo contrario, la automatización finaliza.

  3. aws:executeAwsApi— Obtiene las propiedades de la EC2 instancia de Amazon.

  4. aws:executeAwsApi— Obtiene las propiedades del volumen raíz.

  5. aws:branch— Ramifica la automatización en función de si se proporcionó un ID de subred para la EC2 instancia temporal de Amazon.

  6. aws:assertAwsResourceProperty— Garantiza que la subred que especifique en el SubnetId parámetro esté en la misma zona de disponibilidad que la EC2 instancia de Amazon de destino.

  7. aws:assertAwsResourceProperty— Garantiza que el volumen raíz de la EC2 instancia de Amazon de destino sea un EBS volumen de Amazon.

  8. aws:assertAwsResourceProperty— Garantiza que la arquitectura de la EC2 instancia de Amazon sea arm64 ox86_64.

  9. aws:assertAwsResourceProperty— Garantiza que el comportamiento de cierre de la EC2 instancia de Amazon sea stop o noterminate.

  10. aws:branch— Garantiza que la EC2 instancia de Amazon no sea una instancia puntual. De lo contrario, la automatización finaliza.

  11. aws:executeScript— Garantiza que la EC2 instancia de Amazon no forme parte de un grupo de escalado automático. Si la instancia forma parte de un grupo de autoescalado, la automatización confirma que la EC2 instancia de Amazon se encuentra en un estado de Standby ciclo de vida.

  12. aws:createStack— Crea una EC2 instancia temporal de Amazon que se utiliza para restablecer la contraseña del usuario del sistema operativo que especifique.

  13. aws:waitForAwsResourceProperty— Espera a que se ejecute la EC2 instancia temporal de Amazon recién lanzada.

  14. aws:executeAwsApi— Obtiene el ID de la EC2 instancia temporal de Amazon.

  15. aws:waitForAwsResourceProperty— Espera a que la EC2 instancia temporal de Amazon muestre que está gestionada por Systems Manager.

  16. aws:changeInstanceState— Detiene la EC2 instancia de Amazon de destino.

  17. aws:changeInstanceState— Obliga a la EC2 instancia de Amazon de destino a detenerse en caso de que se quede atascada en un estado de parada.

  18. aws:branch— Ramifica la automatización en función de si se solicitó una instantánea del volumen raíz de la EC2 instancia de Amazon de destino.

  19. aws:executeAwsApi— Crea una instantánea del EBS volumen de Amazon raíz de la EC2 instancia de Amazon de destino.

  20. aws:waitForAwsResourceProperty— Espera a que la instantánea esté en un completed estado.

  21. aws:executeAwsApi— Separa el volumen EBS raíz de Amazon de la EC2 instancia de Amazon de destino.

  22. aws:waitForAwsResourceProperty— Espera a que el volumen EBS raíz de Amazon se separe de la EC2 instancia de Amazon de destino.

  23. aws:executeAwsApi— Adjunta el EBS volumen raíz de Amazon a la EC2 instancia temporal de Amazon.

  24. aws:waitForAwsResourceProperty— Espera a que el volumen EBS raíz de Amazon se adjunte a la EC2 instancia temporal de Amazon.

  25. aws:runCommand— Restablece la contraseña del usuario de destino mediante la ejecución de un script de shell mediante Run Command en la EC2 instancia temporal de Amazon.

  26. aws:executeAwsApi— Separa el volumen EBS raíz de Amazon de la EC2 instancia temporal de Amazon.

  27. aws:waitForAwsResourceProperty— Espera a que el volumen EBS raíz de Amazon se separe de la EC2 instancia temporal de Amazon.

  28. aws:executeAwsApi— Separa el volumen EBS raíz de Amazon de la EC2 instancia temporal de Amazon tras un error.

  29. aws:waitForAwsResourceProperty— Espera a que el volumen EBS raíz de Amazon se separe de la EC2 instancia temporal de Amazon tras un error.

  30. aws:branch— Ramifica la automatización en función de si se ha solicitado una instantánea del volumen raíz para determinar la ruta de recuperación en caso de error.

  31. aws:executeAwsApi— Vuelve a adjuntar el EBS volumen raíz de Amazon a la instancia de Amazon EC2 de destino.

  32. aws:waitForAwsResourceProperty— Espera a que el volumen EBS raíz de Amazon se adjunte a la EC2 instancia de Amazon.

  33. aws:executeAwsApi— Crea un nuevo EBS volumen de Amazon a partir de la instantánea del volumen raíz de la EC2 instancia de Amazon de destino.

  34. aws:waitForAwsResourceProperty— Espera hasta que el nuevo EBS volumen de Amazon esté en un available estado.

  35. aws:executeAwsApi— Adjunta el nuevo EBS volumen de Amazon a la instancia de destino como volumen raíz.

  36. aws:waitForAwsResourceProperty— Espera a que el EBS volumen de Amazon esté en un attached estado.

  37. aws:executeAwsApi— Describe los eventos de la AWS CloudFormation pila si los runbooks no pueden crear o actualizar la AWS CloudFormation pila.

  38. aws:branch— Ramifica la automatización en función del estado anterior de la EC2 instancia de Amazon. Si el estado era running, se inicia la instancia. Si estaba en un estado stopped, la automatización continúa.

  39. aws:changeInstanceState— Inicia la EC2 instancia de Amazon si es necesario.

  40. aws:waitForAwsResourceProperty— Espera a que la AWS CloudFormation pila esté en estado terminal antes de eliminarla.

  41. aws:executeAwsApi— Elimina la AWS CloudFormation pila, incluida la EC2 instancia temporal de Amazon.